跳至內容

Sophos NDR

記錄收集器

您必須加入 EAP 才能使用這項功能。

Sophos Network Detection and Response (NDR) 偵測到您的網路上存在惡意行爲。

您可以將 Sophos NDR 與 Sophos Central 整合,以便能夠在威脅分析中心中對其偵測進行調查。

要整合 NDR,您需要設定連線到 Sophos Central 的 NDR 虛擬設備,並向其傳送資料。主要步驟如下:

  • 檢查需求
  • 新增整合。
  • 設定交換器,以便 NDR 可以看到流量。
  • 下載 NDR 虛擬機 (VM) 映像。
  • 部署新虛擬機。

要求

根據您的網路大小,確定您的 ESXi 伺服器符合 NDR 需求。

Sophos 支援 ESXi 6.7 及更新版本。

大小
頻寬 1 Gbps 5 Gbps 10 Gbps
CPU 4 8 16
RAM 16 GB 32 GB 64 GB
存储 160 GB 320 GB 640 GB
連接埠 SFP+ SFP+
使用者 最多 2,000 最多 10,000 最多 30,000

使用者數量是估計值。網路輸送量是最準確的大小指標。

新增整合

若要新增整合,請依照以下步驟操作:

  1. 登入至 Sophos Central。
  2. 移至威脅分析中心 > 整合
  3. 按一下 Sophos Network Detection & Response (NDR)

  4. 整合中,按一下新增整合

    NDR 整合

  5. 進入整合步驟後,在步驟 1 中輸入別名別名說明

    整合步驟

  6. 步驟 2 中,選取要執行 NDR 設備的虛擬機。

    如果需要新的虛擬機,請按一下建立新虛擬機

    如果要使用現有虛擬機,請從下拉式清單中選取該虛擬機,然後跳至步驟 8。

    整合步驟 2

  7. 如需建立新虛擬機,請執行以下操作:

    1. 輸入虛擬機名稱

    2. 輸入虛擬機說明

    3. 選取虛擬平台。(目前我們僅支援 VMware)。

    4. 指定面向網際網路的網路連接埠。

      • 選取 DHCP 可自動指派 IP 位址。

      • 選取手動以指定網路設定。例如:

      • IP 位址:10.0.252.5

        • 子網路遮罩:255.255.255.0
        • 閘道位址:10.0.252.1
        • DNS 1:8.8.8.8
        • DNS 2:8.8.4.4

    整合步驟 2 虛擬機設定

  8. 步驟 3 中,排除來自特定網域的流量,如下所示:

    1. 輸入排除項清單名稱

    2. 輸入網域,例如 sophos.com,然後按一下新增

    整合步驟 3 排除項

  9. 按一下儲存

在「整合」頁面上,您可以看到新整合。

接下來,設定交換器,以便 NDR 設備能夠監控您的網路流量。

設定交換器

下載和部署 Sophos NDR VM 之前,必須設定連接埠鏡像,也稱為交換連接埠分析器 (SPAN)。這會將傳入和傳出流量的副本從交換器的連接埠或 VLAN 轉送到另一個交換器連接埠進行分析。

您必須為虛擬內部和實體外部網路流量設定連接埠鏡像。

稍後部署 NDR VM 設備時,您將能夠將其連接到 SPAN 連接埠,以便 NDR 能夠監控網路流量。

如欲設定連接埠鏡像,請依照以下動作執行:

  1. 在 ESXi 中,移至網路。在虛擬交換器標籤上,選取用於連接埠鏡像的交換器。

    如果尚未使用交換器,請按一下新增標準虛擬交換器以新增新交換器並向其新增連接埠群組。

    虛擬交換器

  2. 連接埠群組標籤上,按一下新增連接埠群組

    新連接埠群組

  3. 在新連接埠群組的設定中,執行以下動作:

    1. 輸入名稱。
    2. VLAN ID 設定為 4095。這允許交換器上已有的所有其他連接埠群組將流量轉送到新連接埠群組。
    3. 按一下安全性並將混合模式設定為接受
    4. 按一下新增

    您已設定虛擬內部網路流量的轉送。接下來,對實體外部流量執行相同的動作,如下步驟所述。

  4. 在 ESXi 中,選取或建立另一個虛擬交換器,以處理網路上實體交換器傳送給它的實體外部流量。

  5. 依照以下步驟設定交換器:

    1. 移至連接埠群組並按一下新增連接埠群組
    2. 輸入名稱。
    3. VLAN ID 設定為 4095。
    4. 按一下安全性並將混合模式設定為接受

    接下來,將虛擬交換器連接到實體網路,以便它能夠接收外部流量。

  6. 在 ESXi 左側功能表中,移至網路並選取要用於外部流量的交換器。

    已選取 vSwitch

  7. 在交換器詳細資料中,查找 vSwitch 拓撲。您可以看到「無實體介面卡」。

    vSwitch 拓撲

  8. 按一下新增上行鏈路

    新增上行鏈路按鈕

  9. 上行鏈路 1 中,選取可用的 NIC(網路介面卡)。這會將虛擬交換器連接到 ESXi 伺服器上的連接埠。

    上行鏈路 1

  10. 網路拓撲中,檢查是否可以看到實體介面卡已連接。

    實體介面卡

  11. 移至您的實體交換器並使用纜線直接連接到 ESXi 伺服器上的連接埠。

    執行此操作的方式取決於您的實體交換器類型和設定。

您已設定將虛擬內部和實體外部流量轉送到 SPAN 連接埠。稍後,您將設定 Sophos NDR 以監控它。

下面,下載 NDR VM 映像。

下載虛擬機映像

現在您下載了部署和啟動新虛擬機所需的 NDR 映像(OVA 檔案)。

  1. 在新整合旁的動作欄中,按一下 三點圖示,然後選取下載 OVA 檔案

    您會看到下載開始。

    下載選單

  2. 將游標暫留在整合名稱左側的圖示上。現在,您會看到「正在等待部署」。

    整合狀態

您已準備好部署虛擬機。

部署虛擬機

  1. 進入 ESXi 主機。

  2. 選取虛擬機,然後按一下建立/註冊虛擬機

    「建立/註冊虛擬機」索引標籤

  3. 選取建立類型中,選取從 OVF 或 OVA 檔案部署虛擬機。按一下下一步

    選取建立類型

  4. 選取 OVF 和 VMDK 檔案中,輸入虛擬機名稱。

    按一下頁面以選取檔案。選取 OVA 檔案 ndr-sensor.ova。按一下下一步

    選取 OVA 檔案

  5. 選取儲存體中,選取標準。按一下下一步

    選取儲存體

  6. 部署選項中,選取網路對應。在我們的範例中,所有連接埠都設定為 SPAN(您將流量轉送到的連接埠),但 MGMT 除外,它設定為 VM 網路。按一下下一步

    部署選項

  7. 跳過其他設定步驟。

  8. 按一下 完成。等待新虛擬機出現在虛擬機清單中。安裝程序可能會耗費數分鐘時間。

    準備完成

  9. 啟動虛擬機並等待安裝程序完成。此可能需要最多 10 分鐘。

    則警告

    請勿中斷此程序。

  10. 在 Sophos Central 中,移至 NDR 整合頁面並重新整理。現在,虛擬機的狀態為已連線

    整合狀態